目录 1
第1章 入侵检测基础知识 1
1.1 入侵检测的产生与发展 1
1.1.1 早期研究 1
1.1.2 主机IDS研究 2
1.1.3 网络IDS研究 3
1.1.4 主机和网络入侵检测的集成 4
1.2 入侵检测的基本概念 5
1.2.2 入侵检测的作用 6
1.2.1 入侵检测的概念 6
1.2.3 研究入侵检测的必要性 7
1.3 练习题 8
第2章 入侵检测系统 9
2.1 入侵检测系统的基本模型 9
2.1.1 通用入侵检测模型 9
2.1.2 IDM模型 11
2.1.3 SNMP-IDSM模型 12
2.2 入侵检测系统的工作模式 13
2.3 入侵检测系统的分类 14
2.4.1 基于主机的数据源 15
2.4 入侵检测系统的数据源 15
2.4.2 基于网络的数据源 17
2.4.3 应用程序日志文件 18
2.4.4 其他入侵检测系统的报警信息 19
2.5 入侵检测系统的部署 19
2.6 练习题 21
3.1.1 信息收集 23
3.1.2 信息分析 23
3.1 入侵检测的过程 23
第3章 入侵检测技术 23
3.1.3 告警与响应 24
3.2 入侵分析的概念 24
3.2.1 入侵分析的定义 24
3.2.2 入侵分析的目的 24
3.2.3 入侵分析需要考虑的因素 25
3.3 入侵分析的模型 25
3.3.1 构建分析器 25
3.3.2 对现场数据进行分析 27
3.4.1 误用检测 28
3.4 入侵分析方法 28
3.3.3 反馈和提炼 28
3.4.2 异常检测 32
3.4.3 可代替的检测方案 38
3.5 告警与响应 41
3.5.1 对响应的需求 42
3.5.2 响应的类型 44
3.5.3 调查期间掩盖跟踪 46
3.5.4 按策略配置响应 48
3.6.1 通信过程的记录设定 49
3.6 入侵追踪 49
3.6.2 查找记录 51
3.6.3 地理位置的追踪 52
3.6.4 来电显示 52
3.6.5 使用IP地址和域名 52
3.6.6 Web欺骗的攻击和策略 53
3.7 练习题 54
第4章 入侵检测系统的性能指标和评估标准 55
4.1 影响入侵检测系统性能的参数 55
4.2 评价检测算法性能的测度 57
4.3 评价入侵检测系统性能的标准 58
4.4 网络入侵检测系统测试评估 59
4.5 测试评估内容 60
4.5.1 功能性测试 60
4.5.2 性能测试 61
4.5.3 产品可用性测试 62
4.6 测试环境和测试软件 62
4.6.1 测试环境 62
4.6.2 测试软件 63
4.7 用户评估标准 64
4.8.1 离线评估方案 66
4.8 入侵检测评估现状 66
4.8.2 实时评估方案 70
4.9 练习题 71
第5章 主要入侵检测系统分析及入侵检测的标准化工作 73
5.1 国外主要入侵检测系统简介 73
5.1.1 RealSecure 73
5.1.2 Cisco公司的Cisco Secure IDS 75
5.1.3 AAFID 77
5.2.1 “天眼”网络入侵检测系统 78
5.2 国内主要入侵检测系统简介 78
5.2.2 “天阗”黑客入侵检测系统 81
5.2.3 “冰之眼”网络入侵检测系统 84
5.2.4 ERCIST-IDS网络入侵检测系统 86
5.3 入侵检测的标准化工作 88
5.3.1 CIDF的标准化工作 88
5.3.2 IDWG的标准化 92
5.3.3 标准化工作总结 99
5.4 练习题 99
6.1.1 现有入侵检测系统的局限性 101
6.1.2 Agent在IDS中的作用 101
第6章 入侵检测系统的实现 101
6.1 系统的体系结构 101
6.1.3 系统的体系结构 102
6.1.4 系统策略 103
6.1.5 关键技术分析 103
6.2 主机Agent的设计和实现 104
6.2.1 Linux安全性分析 104
6.2.2 设计思路 106
6.2.3 主机Agent的结构 107
6.2.4 主机Agent的具体实现 109
6.3 分析Agent的设计和实现 120
6.3.1 分析Agent的结构 120
6.3.2 具体实现 121
6.4 中心Agent的设计和实现 125
6.4.1 中心Agent的结构 125
6.4.2 具体实现 126
6.5 Agent之间通信的设计和实现 130
6.5.1 告警审计数据的传送 131
6.5.2 控制信息的传送 132
6.6 练习题 132
第7章 Snort分析 134
7.1 Snort的安装与配置 134
7.1.1 Snort简介 134
7.1.2 底层库的安装与配置 135
7.1.3 Snort的安装 137
7.1.4 Snort的配置 138
7.2 Snort的使用 139
7.2.1 Libpcap的命令行 139
7.1.5 其他应用支撑的安装与配置 139
7.2.2 Snort的命令行 140
7.2.3 高性能的配置方式 141
7.3 Snort的规则 142
7.3.1 规则的语法 142
7.3.2 常用攻击手段对应规则举例 149
7.3.3 规则的设计 151
7.4 Snort总体结构分析 152
7.4.1 Snort的模块结构 152
7.4.2 插件机制 153
7.4.3 libpcap应用的流程 154
7.4.4 Snort的总体流程 155
7.4.5 入侵检测流程 155
7.5 练习题 156
第8章 入侵检测的发展趋势 158
8.1 入侵检测技术现状分析 158
8.2 目前的技术趋势 158
8.2.1 大规模网络的问题 158
8.2.5 无线网络的进步 159
8.2.4 高速网络的挑战 159
8.2.3 网络复杂化的思考 159
8.2.2 网络结构的变化 159
8.2.6 分布式计算 160
8.2.7 入侵复杂化 160
8.2.8 多种分析方法并存的局面 160
8.3 未来的安全趋势 160
8.3.1 管理 160
8.3.2 保护隐私安全 161
8.4 入侵检测的前景 162
8.4.1 入侵检测的能力 162
8.3.4 可靠传输信任管理 162
8.3.3 加密 162
8.4.2 高度的分布式结构 163
8.4.3 广泛的信息源 163
8.4.4 硬件防护 163
8.4.5 高效的安全服务 164
8.5 练习题 164
参考文献 165
附录 选择题答案 165